php - Sikkerhed ved filupload - Udvikleren.dk - Programmering, webdesign og grafik

Tags: fil upload sikkerhed gdlib php

Bruger #16679 @ 08.07.11 12:14

Hej

Jeg er igang med at udvikle et ganske fornuftigt upload system. Det fungerer faktisk upåklageligt, lige indtil jeg prøvede at uploade en php fil forklædt som jpeg.

Jeg udviklede en fil med følgende kode i og gemte den som jpeg (med mime-type og det hele).

PHP kode

 <?php
 
 function forever()
 {
 forever();
 }
 
 forever();

Er der nogen der ved hvordan jeg kan kontrollere at en billedfil er et billede og ikke et hack.

3 svar postet i denne tråd vises herunder
0 indlæg har modtaget i alt 0 karma

Sorter efter stemmer Sorter efter dato

Bruger #16679 @ 08.07.11 12:30

Fandt selv en løsning. Jeg valgte at måle dimensionerne på billedet med:

PHP kode

 if(!getimagesize($this->fileTemp['tmp_name']))
 {
     return false;
 }

Jeg anser det som en god løsning, hvis nogen har en bedre løsning er jeg stadig yderst interesseret i at høre det.

Bruger #10216 @ 08.07.11 12:55

4.283

Der er nogle der foreslår at bruge system('file -bi <path>');

http://php.net/manual/en/function.mime-content-type.php

Bruger #2695 @ 08.07.11 17:22

1.963

Jeg vil foreslå at du også fjerner eventuelle EXIM headers fra filen (eller i hvert fald overskriver dem), da det er en mulighed for at lægge kode på serveren som så senere kan udnyttes med en local file inclusion sårbarhed.

Sikkerhed ved filupload

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler